Données personnelles

Une donnée à caractère personnel ou DCP (couramment « données personnelles ») correspond en droit français à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification de cette personne physique ou bien à un ou plusieurs éléments qui sont propres à cette personne[1]. En Europe, les données ayant été l'objet d'un procédé d'anonymisation ne sont plus considérées comme des données à caractère personnel.

Ces données sont protégées par divers instruments juridiques notamment la loi Informatique, fichiers et libertés de 1978 et le Règlement général sur la protection des données ou RGPD (abrogeant la directive 95/46/CE) au niveau communautaire ainsi que la Convention no 108 pour la protection des données personnelles du Conseil de l'Europe. À l'instar de la CNIL française, beaucoup de pays disposent aujourd'hui d'autorités chargées de la protection des données à caractère personnel, qui sont souvent des autorités administratives indépendantes (ou des équivalents de celles-ci), chargées de faire appliquer le droit de la protection des données à caractère personnel.

En France, la loi énonce que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Le règlement européen RGPD a été adapté en droit interne par la loi du 20 juin 2018 relative à la protection des données personnelles[2]. Par ailleurs, cette loi donne à la CNIL des missions supplémentaires et un pouvoir de contrôle et de sanction accru en matière de protection des données[3].

Définition

Dans les textes

Les définitions retenues dans les différents textes fondant le droit de la protection des données à caractère personnel ne divergent pas fondamentalement mais offrent un niveau de détail variable.

Droit de l'Union européenne

L'article 4 du RGPD définit la donnée à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Cette définition est légèrement plus approfondie que celle qui figurait à l'article 2 de la directive 95/46/CE, laquelle précisait que la personne devenait identifiable « notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale »[4].

Droit français

La loi informatique et libertés ne formulant pas de définition de la donnée à caractère personnelle, celle de l'article 4 du RGPD s'applique.

Selon l'article 2 de la loi informatique et libertés en vigueur jusqu'au 25 mai 2018, une donnée à caractère personnelle était définie comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». Elle ajoutait que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Lors de la transposition, le législateur français n'a pas repris exactement les termes de la directive de 1995, laquelle ajoute dans son considérant 26 que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ».

La loi informatique et libertés originale du 6 janvier 1978[1]référait plutôt aux « informations nominatives », celles donnant « une définition du profil ou de la personnalité de l'intéressé » (article 2), et « qui permettent sous quelque forme que ce soit, directement ou non, l'identification des personnes physiques auxquelles elles s'appliquent » (article 4).

Droit extra-communautaire

La Convention 108 du Conseil de l'Europe définit les données à caractère personnel en son article 2 comme « toute information concernant une personne physique identifiée ou identifiable ».

Étendue de la notion de donnée à caractère personnel

La notion de donnée à caractère personnel fait l'objet d'une définition ample, et est appliquée de manière large par les juridictions et les autorités nationales[5].

Exemples de données à caractère personnel

Sont considérées comme des données à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement à l'aide d'un ou plusieurs identifiants. Ces identifiants peuvent être des informations directement nominatives telles que le nom, le prénom, la photographie du visage, mais aussi indirectement nominatives, telles que la date et le lieu de naissance, l'adresse du domicile, l'adresse électronique, le pseudonyme, un numéro de référence, un code de pseudo anonymisation ou le numéro de téléphone, qui peuvent être reliées à la personne par recoupement d'informations. Une adresse IP est également considérée comme une donnée à caractère personnel, qu'elle soit fixe ou dynamique[6] car elle peut être utilisée, sans connaître le nom réel de l'individu , pour tracer ses comportements sur internet, construire des "profils" détaillés et ainsi envoyer des publicités personnalisées basées sur ses habitudes de navigation et son historique d'achat.

Ces données peuvent être objectives, comme le groupe sanguin, le numéro de sécurité sociale ou de carte bancaire, ou subjectives, comme des avis ou des appréciations (dans les « zones bloc-note » des logiciels de gestion client, par exemple) sur la personne concernée, lesquels n'ont même pas besoin d'être vrais.

Les données n'ont pas à être structurées ni même contenues dans une base de données pour être à caractère personnel. Elles ne doivent pas non plus être nécessairement exploitables par celui qui les a en sa possession.

De même, le format est indifférent : il peut s'agir d'images (photographies, tableau, dessins), de vidéos (enregistrements de vidéosurveillance), de sons (échantillons de la voix), d'une partie du corps (empreinte digitale, rétinienne ou veineuse).

En revanche, une donnée à caractère personnel ne peut concerner qu'une personne physique, les informations relatives aux personnes morales n'entrant pas dans le cadre de la réglementation sur les données personnelles. Pour autant, des fichiers tels que le registre du commerce et des sociétés contiennent de nombreuses données à caractère personnel, parmi lesquelles les informations relatives aux dirigeants, sur ce point entre autres il est à noter que la réglementation sur les données personnelles doit être considérée conjointement avec d'autres réglementations qui peuvent limiter certains droits tels que le droit à la suppression ou à l'accès des données personnelles.

Exemple des données des dossiers passagers (PNR)

Les données des dossiers passagers (ou PNR, de l'anglais Passenger Name Record) sont des données personnelles concernant tous les détails d'un voyage pour des passagers voyageant ensemble. La CNIL, et ses homologues européens réunis au sein du G29, considèrent que l'échange de ces données entre États ainsi que l'utilisation qui en est faite soulèvent un certain nombre de problèmes quant au respect de la vie privée, particulièrement avec les États-Unis dont la législation protège moins bien ces données que ne le fait la législation de l'Union européenne. Dans son avis concernant la décision-cadre du Conseil européen de novembre 2007, qui reprenait maintes dispositions de l'accord entre l'UE et les États-Unis de juillet 2007 sur l'échange des données PNR, le G29 déclarait : « Un régime PNR européen ne saurait aboutir à la surveillance généralisée de tous les passagers »[7]. En avril 2012, le Parlement européen a donné son aval au stockage d’informations sur les passagers aériens européens par les autorités américaines[8]. En avril 2016, le Parlement Européen a adopté la Directive sur les données des dossiers passagers de l'UE[9].

Exemple des données médicales

Les données médicales surtout quand elles sont nominatives sont considérées comme des « données sensibles » par le RGPD et par la loi Informatique et libertés. Elles ne peuvent être collectées que dans certains cas, encadrés par la loi, par exemple pour le dossier médical informatisé d'un patient hospitalisé. Le rapport Babusiaux de 2003 préconisait de les transmettre aux CPAM (Caisses primaires d'assurance maladie), aux mutuelles et aux assurances après anonymisation[10]. Une petite minorité de médecins s'est rebellé contre l'informatisation des dossiers médicaux, lors de la mise en place de la Carte Vitale, en alléguant la nécessité de protéger le secret médical[11]. La « Loi relative à l'assurance maladie » (13 août 2004) prévoit[12] la création d'un Institut des données de santé (IDS, groupement d'intérêt public, opérationnel en 2007) puis aussi soumis à la loi de 2011 de simplification et d'amélioration de la qualité du droit[13]) ; il réunit l'État, les caisses nationales d'assurance maladie, l'Union nationale des organismes d'assurance maladie complémentaire et l'Union nationale des professions de santé et doit assurer la cohérence et la qualité des systèmes d'information utilisés pour la gestion du risque maladie ; il « met à disposition de ses membres, de la Haute Autorité de santé, des unions régionales des professionnels de santé et de certains organismes désignés par décret en Conseil d'État, à des fins de gestion du risque maladie ou pour des préoccupations de santé publique, des données issues des systèmes d'information de ses membres, dans des conditions garantissant l'anonymat fixées par décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés » et publie annuellement un rapport d'activité d'abord transmis au Parlement.

Exemple du SIDA

En France à la fin des années 1990, le secrétaire d'État à la santé Bernard Kouchner[14] propose l'inclusion du SIDA dans la liste des maladies infectieuses à déclaration obligatoire, qui implique une déclaration obligatoire mais anonymisée des séropositifs. Cette démarche est soutenue par les associations de lutte contre le SIDA, du moment que les données étaient anonymisées[15],[16].

Jean-Baptiste Brunet, directeur du Centre européen de surveillance du sida[15] soutient aussi cette idée, à l'inverse du Conseil national du sida qui souligne les « risques d'atteinte aux libertés individuelles » ainsi que la moindre efficacité de « mesures obligatoires qui ne sont pas directement dans l'intérêt des malades » « l'obligation supposerait un dispositif automatique, un système illusoire de sanctions en cas de non-respect de la réglementation, voire un aménagement législatif du code de santé publique »[15].

En mai 1999, un décret impose la déclaration obligatoire du SIDA dans le cadre de la loi de 1998 sur la veille sanitaire[17]. Un autre décret, du , inquiète les associations de lutte contre le SIDA à l'été 1999, car incluant possiblement des données nominatives dans le traitement automatisé mis en œuvre par l'Institut de veille sanitaire, avec un risque de discrimination. Le ministre annonce alors que ce décret sera modifié, et la CNIL diffèrera en septembre 2009 la mise en œuvre par l'institut de veille sanitaire du traitement automatisé[18].

Exemple des données biométriques

La biométrie « désigne une technologie d'identification qui consiste à transformer une caractéristique morphologique ou comportementale en une empreinte numérique. Son objectif est d'attester l'unicité d'une personne à partir de la mesure d'une partie inchangeable et immaîtrisable de son corps »[19]. Le règlement 2016/679 les définit comme « les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (article 4 (14)).

Pour être employées, les caractéristiques en question doivent répondre à certaines exigences cumulatives : elles doivent être uniques, universelles, permanentes et mesurables[20]. Les caractéristiques du corps susceptibles d'être employées par un dispositif d'identification ou d'authentification biométriques sont notamment l'empreinte digitale, le contour de la main, l'analyse de la rétine, de l'iris, du réseau veineux du doigt, de la main ou du visage, la géométrie faciale, jusqu'à l'ADN. Toutes les données biométriques extraites de ces caractéristiques lors de l'enrôlement sont des données à caractère personnel.

Les données biométriques font l'objet d'un régime spécifique en droit français depuis la loi no 2004-801 du 6 août 2004, qui figure à l'article 25 de la loi informatique et libertés, lequel soumet leur traitement à une autorisation préalable de la CNIL. Le règlement général sur la protection des données personnelles les qualifie de « catégories particulières de données à caractère personnel » (article 9 (1)), dont le traitement est, en principe, interdit.

Dénominations impropres

Les données à caractère personnel sont parfois improprement nommées « données sensibles », par opposition aux données non identifiantes, ce qui entretient une confusion avec les « catégories particulières de données à caractère personnel » couramment nommées « données sensibles ». Il s'agit alors des données personnelles « qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8 de la loi informatique et libertés modifiée). Le Règlement y ajoute les « données génétiques » et les « données biométriques aux fins d'identifier une personne physique de manière unique » (article 9).

Une autre appellation impropre est celle de « données privées », notamment parce que les données à caractère personnel peuvent très bien être rendues publiques sans pour autant perdre la protection assurée par le droit. Cela dit il faut clairement séparer (ce qui n'est pas aussi clair dans les pays Anglo Saxons ou il y a utilisation analogue de Personal Data Protection & Privacy) la protection des données Personnelles et le respect de la Vie Privée car ce dernier est un concept plus étendu mais néanmoins connexe. En effet la collecte, l'utilisation et le traitement des Données Personnelles peuvent gravement affecter la réputation, l'image, la vie privée, affective et sociale ou la psychologie d'une personne.

En revanche, l'appellation abrégée « données personnelles » est d'usage courant et communément admise.

Vie privée, données publiques

Nos sociétés assistent, avec Internet et les médias sociaux, à un élargissement de notre vision de la vie privée. Nous partageons tous les jours de nombreuses informations et données, parfois consciemment sur nos profils Facebook, Instagram ou Twitter, parfois involontairement par notre traces laissées par l'acceptation de cookies de certains sites. En publiant et partageant des informations sur nos profils numériques, on accepte de partager l'appartenance de ces données à notre réseau d'abord (amis, followers…), à la plateforme ensuite et à toutes les personnes ayant accès à ces profils. Ces informations, même partagées avec le monde entier, restent des données personnelles. Ces nouvelles formes de dévoilement stratégique d'informations personnelles à des fins de gestion du capital social en ligne n'est en rien une renonciation à la privacy; notre besoin de protéger notre intimité existe toujours[21]. Il existe de multiples motivations de la révélation de soi sur les réseaux sociaux. En fonction du réseau social observé, plusieurs façons de gérer son capital social apparaissent. Tous permettent un ajustement de la présentation en ligne de l'utilisateur, certains permettent la mise en commun de détails sélectionnés à différentes sphères plus ou moins intimes. Selon le sociologue Antonio Casilli, sur les médias sociaux, la notion de capital social désigne « l'acquisition, via des relations médiatisées pas les TIC, de ressources matérielles, informationnelles ou émotionnelles »[21]. Ce dévoilement et cette gestion du capital social sont soumis à des coûts, comme celle de la perte de privacy ; se faire connaître oblige, notamment, à sacrifier une partie de sa vie privée afin d'attirer des connexions[22]. Toujours d'après Antonio Casilli, « aucune des données partagées n'est privée ou publique, elle représente en quelque sorte un signal que les usagers envoient à leur environnement (ici, les membres de leurs réseaux personnels en ligne), afin de recevoir un retour (feedback) dudit environnement »[21]. La privacy est alors basée sur la recherche d'un accord entre plusieurs parties ; les acteurs sont prêts à confronter leurs intérêts et à faire des concessions mutuelles en termes de dévoilement d'informations potentiellement intimes. La confidentialité, l'intimité et la privacy ne dépendent pas uniquement de caractères propres à l'individu mais deviennent contextuelles et donc sujettes à concertation collective[21].

Données anonymisées

En Europe, les données ayant été l'objet d'un procédé d'anonymisation ne sont pas considérées comme des données à caractère personnel. Selon le considérant 26 du règlement général sur la protection des données, « il n'y a […] pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche ».

Néanmoins il faut différencier les données "réellement anonymisées" et les données "pseudo-anonymisées (utilisant une code de référence "confidentiel") qui sont fréquemment utilisées dans des domaines comme la recherche médicale. Les données "pseudo anonymisées (ou codées) restent des données personnelles et sont donc cadrées par la réglementation des données personnelles.

En revanche, la collecte de données à caractère personnel, même si celles-ci sont immédiatement anonymisées, reste un traitement de données soumis aux principes de la protection des données.

Plusieurs études ont montré que les techniques habituelles d'anonymisation sont parfois mise en défaut. Ainsi, des données médicales anonymisées (visites d'hôpitaux, consultations médicales) d’employés de l’État du Massachusetts ont été « ré-identifées » en les croisant avec les listes électorales d'une même ville. Le gouverneur même de l’État a pu être ré-identifié, seules six personnes partageant la même date de naissance dont trois de sexe masculin, et, parmi ces dernières, une seule partageait le même code postal, sur un total de 54 000 résidents et sept codes postaux[23]. L'efficacité de l'anonymisation est aussi fonction de la granularité de l'information, car sur des petits échantillons ou dans le cas de granularité très fine allant jusqu'à quelques individus, l'anonymisation devient inexistante.

Plus récemment, une étude de chercheurs du MIT a montré que quatre points géolocalisés étaient suffisants pour identifier 95 % des individus dans une base de données téléphoniques de 1,5 million de personnes[24].

Données de connexion

Ce sont les métadonnées associé à une connexion. Pour ceux qui y ont accès, elles permettent de localiser des terminaux (téléphones, ordinateurs…) et elles renseignent sur les accès de ces terminaux aux réseaux ou aux services de communication en ligne ; elles renseignent aussi sur l'acheminement des communications électroniques (téléphone, internet)[25] et sur l'identification et l'authentification d'un utilisateur, d'une connexion, d'un réseau ou service de communication. Elles renseignent enfin aussi sur le terminal et sur les données de configuration de ses logiciels[25].

Remarque : En France, depuis le 20 octobre 2021, selon la loi (Cf. article R851-5-I du Code de la sécurité intérieure modifié par Décret n°2021-1362 du 20 octobre 2021 - art. 11)[25], ces « données de connexion » n'incluent pas le « contenu des correspondances échangées ou des informations consultées » (à la suite d'une décision du Conseil constitutionnel sollicité à définir ce champ, lors d'une question prioritaire de constitutionnalité posée par la Quadrature du Net, FDN et FFDN.

Certains agents des services du renseignement ont accès à un dispositif dit « Interceptions obligatoires légales » (ou IOL) de surveillance automatisé (« d'écoute ») du réseau Internet en France. Cet IOL est d'abord resté secret (et a-légal ou illégal)[26],[27].

Valeur économique

Les données à caractère personnel, par la valeur économique potentielle qui résulte de leur exploitation, font partie de l'actif immatériel d'une entreprise, et sont au cœur de ce que d'aucuns ont nommé, y compris au niveau institutionnel, « l'économie de la donnée »[28]. Plusieurs modèles économiques s'appuient sur l'exploitation de données personnelles parmi lesquels ceux consistant à fournir des services gratuits en échange des données fournies par leurs utilisateurs, qui sont exploitées pour l'essentiel à des fins de personnalisation marketing et ciblage comportemental[29].

Des scandales récents (notamment Facebook-Cambridge Analytica) ont aussi montré l'utilisation des données personnelles à des fins politiques afin d'influencer directement ou indirectement les choix politiques des électeurs lors d'élections majeures.

En outre, les données à caractère personnel produites par les collectivités ou les administrations, qui font préalablement l'objet d'un procédé d'anonymisation, peuvent être diffusées à des fins d'intérêt général dans le cadre de politiques d'ouverture des données publiques.

Conflits avec les droits des personnes

Parce que les données à caractère personnel renseignent, notamment, sur l'identité, le comportement, les habitudes ou les préférences des personnes concernées, leur exploitation entre en conflit avec le droit au respect de la vie privée et familiale, protégé par la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (article 8 alinéa 1), la Charte européenne des droits fondamentaux (article 7), et le Code civil (article 9).

Dans certains cas, l'exercice des droits offerts aux personnes concernées par le droit de la protection des données suscite des conflits avec d'autres libertés fondamentales, telles que la liberté d'expression ou le droit à l'information, notamment lors de la mise en œuvre du droit à l'oubli.

Cas Google

Si les fuites de données personnelles relèvent parfois de piratage par des entités extérieures, il arrive également que celles-ci soient volontaires de la part de leurs détenteurs, au risque de pénaliser les utilisateurs. En août 2014, un utilisateur de la messagerie Gmail a été dénoncé aux autorités locales par Google à la suite de l’envoi d’une photo pédopornographique en pièce-jointe d’un mail[30]. Or, Google le dit clairement dans ses conditions d’utilisation : « Nos systèmes automatisés analysent vos contenus (y compris les e-mails) afin de vous proposer […] Cette analyse a lieu lors de l'envoi, de la réception et du stockage des contenus »[31].

Si nul ne peut contester le bien fondé de cette action, ce fait divers met en lumière le contrôle massif des échanges effectué par Google. Cette méthode entre par ailleurs en contradiction avec l’article 29 de la CNIL qui stipule que : « L'accès à des données à caractère personnel aux fins de sécurité n'est pas acceptable dans une société démocratique dès lors qu'il est massif et sans condition. La conservation, l'accès et l'utilisation de données par les autorités nationales compétentes doivent être limitées à ce qui est strictement nécessaire et proportionné dans une société démocratique. Elles doivent être soumises à des garanties substantielles et effectives »[32].

Protection juridique

La première loi relative au traitement automatisé des informations nominatives est votée par le Landtag de Hesse, en 1970[33]. La première loi nationale de protection des données personnelles est la Datalagen suédoise du 11 mai 1973[34].

L'article 1 de la loi informatique et liberté énonce que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ». Les différents instruments juridiques existant en la matière énoncent un ensemble de principes que le responsable d'un traitement de données à caractère personnel doit respecter afin de protéger les droits fondamentaux de la personne concernée, laquelle bénéficie de droits lui permettant de conserver le contrôle sur ses données.

Droit de la protection des données à caractère personnel

Chine

Depuis 2012 et une « décision » du Comité permanent de l’ANP appelant au renforcement la protection des données issues d’internet et proposant une première définition des « données personnelles », des dispositions liées à la protection de ces dernières ont infusé de nombreux textes, notamment sectoriels, jusqu’à 2017 et l’édiction de la loi sur la cybersécurité (CSL, 2017), sorte de loi-cadre depuis complétée par une multitude de textes. Parmi ces deniers : (1) un standard (Personal Information Security Specification ou « PISS ») théoriquement volontaire mais largement obligatoire dans la pratique, et qui précise les mesures à prendre en matière de collecte, stockage, utilisation, partage, transfert et publication de données personnelles (mai 2018) ; (2) un projet de nouvelle règlementation encadrant les transferts transfrontaliers de données personnelles (juin 2019)[35].

L’ensemble de ce dispositif juridique et règlementaire est largement inspiré du RGPD[36]. Bien que le RGPD soit souvent à la fois plus global et précis, et qu’il procède d’un point de départ différent (protection des droits individuels, alors que la CSL insiste sur la sauvegarde de la sécurité nationale), les deux régimes se rejoignent sur de nombreux points, dont notamment les suivants : (1) la nécessité d’obtenir le consentement de l’utilisateur préalablement à la collecte de ses données (la loi chinoise sur la cybersécurité requiert même un consentement « explicite ») ; (2) certains principes comme la minimisation de l’information recueillie relativement à l’objectif recherché ; la minimisation de la durée de stockage, etc. ; (3) le droit des utilisateurs d’accéder aux données, et de demander leur correction ou suppression ; (4) la limitation du partage des données à des tiers (PISS ne l’autorise qu’en cas de « nécessité » et à condition que le destinataire soit en mesure d’en assurer la sécurité) ; (5) l’adoption d’une approche contractuelle pour les transferts transnationaux de données personnelles[37].

Des différences notables demeurent toutefois. Dans certains cas, le droit chinois se révèle être plus contraignant que le RGPD. Ainsi : (1) la loi sur la cybersécurité prévoit des sanctions pouvant aller jusqu’à dix fois le montant des bénéfices réalisés du transferts transfrontaliers font l’objet de contrôles plus stricts en Chine : l’utilisateur doit en avoir été informé et avoir consenti à toute sortie de données sensibles, un rapport d’évaluation du risque doit avoir été soumis et approuvé par les autorités, etc. ; (2) en matière de sécurisation des données personnelles, le corpus chinois est beaucoup plus prescriptif concernant les moyens à mettre en œuvre ; audit et formation annuels, mise en place de plans d’urgence, création d’un poste de « data security officer » à temps plein dans les organisations réunissant certains critères, notification de toute faille de sécurité aux autorités, etc. Toutefois, le « droit à l’oubli » n’est pas reconnu comme tel en Chine et la suppression des données sur demande des utilisateurs est soumise à plusieurs conditions (absence de consentement, collecte ou utilisation illégale, etc.) telles qu’édictées dans le standard « PISS ». En outre, il n’existe aucune autorité spécifique chargée de la protection des données personnelle, alors même que les opérateurs de réseau et les fournisseurs de services se voient requis de partager les données recueillies avec leurs administrations de tutelles et les organes de sécurité publique[37].

En l’absence de canal effectif permettant aux citoyens de faire valoir leurs droits, la mise en œuvre de ce corpus de textes se fait principalement à l’initiative du gouvernement et demeure très imparfaite. Une première « campagne » a visé les géants chinois du numérique : Alibaba, Tencent, Sina, Baidu, etc., tour à tour inspectés. En 2018, l’accent a été mis sur les comportements criminels et malveillants (vol, vente de données personnelles), sous la houlette du Ministère de la sécurité publique. Puis, en 2019, sur les applications de téléphonie mobile les plus populaires pour évaluer si ces dernières récoltaient des données illégalement ou en quantités excessives. Des sanctions financières et pénales sont prévues mais, la plupart du temps, les entreprises se voient sommées de mettre en œuvre des mesures correctives et, dans certains cas, des applications sont mises hors ligne. La mise en œuvre reste en grande partie réalisée de manière verticale, sur initiative des autorités publiques. De cette logique de campagne découle mécaniquement une mise en œuvre d’intensité variable dans le temps, selon les acteurs et les secteurs. Le droit est, en outre, susceptible d’être adapté aux circonstances et aux intérêts supérieurs de l’État. À titre d’exemple : en février 2020, afin de lutter contre l’épidémie de COVID-19, le gouvernement chinois a généralisé le recours à des solutions de pistage des individus potentiellement atteints développées par Tencent et Alibaba. Selon le New York Times, l’application d’Alibaba partageait automatiquement les données avec la police sans en avertir les utilisateurs[38].

États-Unis d'Amérique

Ces données peuvent être vendues, si la personne concernée n'exprime pas explicitement son désaccord. C'est par exemple le cas des données des logiciels de paie[39].

France

Le droit positif français de la protection des données à caractère personnel consiste en la loi informatique et libertés modifiée, laquelle assure la transposition de la directive 95/46/CE. Le 25 mai 2018 le Règlement général sur la protection des données est entré en application dans toute l'Union européenne, puis qu'il s'agit d'une norme d'application directe, ne nécessitant pas d'être transposé. Cela dit, un projet de loi a été présenté en Conseil des ministres le 13 décembre 2017[40] afin d'adapter la loi informatique et libertés aux dispositions de ce Règlement, notamment en ce qui concerne les choix nationaux autorisés par les nombreuses clauses d'ouvertures présentes dans le texte communautaire (âge minimum pour consentir au traitement, régime des données sensibles…).

En synthèse, le droit de la protection des données à caractère personnel impose au responsable du traitement de ces données de respecter les principes suivants :

  • Licéité de la collecte et du traitement
  • Limitation des finalités, lesquelles doivent être explicites et légitimes
  • Minimisation des données collectées au regard des finalités
  • Exactitude des données
  • Limitation de la durée de conservation à celle nécessaire à l'accomplissement des finalités
  • Sécurité et confidentialité des données

Les personnes concernées disposent de droits à l'information, à la rectification voire à l'effacement des données (parfois nommé « droit à l'oubli » ou « au déréférencement »), de s'opposer ou de limiter le traitement, et, avec le Règlement, du droit d'exiger la portabilité des données (on parle alors de « droit à la portabilité »).

Suisse

La Loi fédérale sur la protection des données du 19 juin 1992 (dans son état au 1er janvier 2011) a mis en place une protection très stricte de la vie privée en interdisant pratiquement tout traitement de données non explicitement autorisé par la personne intéressée[41]. Il est en particulier prescrit que :

  • le traitement de données personnelles doit être effectué conformément aux principes de la bonne foi et de la proportionnalité ;
  • les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte ;
  • la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée :
  • lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.

En sus, tout particulier peut demander par écrit à une entreprise (gérant un fichier) la rectification ou la suppression des données le concernant[42]. L'entreprise doit répondre dans les trente jours[42].

L'ensemble du dispositif est soumis à l'autorité d'un Préposé fédéral à la protection des données et à la transparence[43].

Rôle de la Commission nationale de l'informatique et des libertés

La Commission Nationale de l'Informatique et des Libertés est l'autorité administrative indépendante chargée de l'application de la loi informatique et libertés, et du respect des droits des personnes. Pour ce faire, elle accompagne les responsables de traitement, informe les personnes concernées de leurs droits, reçoit et instruit les plaintes qui peuvent conduire à des sanctions.

Évolution de la protection juridique

L'intégrité numérique est une notion juridique émergente dont l'objectif est d'aboutir à une meilleure protection des données en garantissant le droit à l’autodétermination informationnelle. Introduit au sein des droits fondamentaux, le droit à l’intégrité numérique est proposé comme justification de l’ensemble des droits numériques dont celui de la protection des données.

Nature juridique

Question d'un droit de propriété sur les données à caractère personnel

Les modes de collecte se sont particulièrement diversifiés avec les technologies numériques. Ces modes peuvent aller de la collecte d'informations via un formulaire rempli volontairement par les individus, jusqu'à l'enregistrement de traces (habitudes de navigation, localisation géographique de l'adresse de connexion, sites consultés, relations établies avec des individus ou des réseaux, etc.).

Les modes d'exploitation peuvent être le fait des individus eux-mêmes, par recherche d'informations à l'aide d'un moteur de recherche ou sur les réseaux sociaux en ligne, ou bien le fait d'organisations : marketing ciblé, fichage des populations par l'État, envoi massif de courriels non sollicités à caractère commercial (pourriels), etc.[44],[45]. Le modèle économique des acteurs majeurs du Web (Google, Amazon) et des réseaux sociaux (Facebook, Twitter) repose en grande partie sur l'exploitation des données personnelles des utilisateurs[46].

Pierre Bellanger suggère en 2014 la création d'un droit de propriété : celui de sa trace numérique sur les réseaux. Ce droit supposerait que toute captation ou traitement des données provenant d'un citoyen européen réponde du droit européen, mais de surcroît que toute exportation de ces données hors de l'Union soit assujettie à une taxe : la « dataxe »[45],[47].

L'AFAPDP[48], l'association des autorités de protection de données, réfute la création d'un tel droit de propriété. Le 18 octobre 2018, l'association, réunie en assemblée à Paris, vote une résolution déclarant que « les données à caractère personnel sont des éléments constitutifs de la personne humaine, qui dispose, dès lors, de droits inaliénables sur celles-ci ». Cette résolution avait été proposée par la CNIL[49].

Atteintes aux données à caractère personnel

Le partage et la fuite de données à caractère personnel constituent des atteintes à la sécurité et à la confidentialité des données, qui peuvent avoir d'importantes répercussions pour les personnes concernées. Celles-ci sont toutefois fréquentes :

Dropbox : site permettant de stocker ses fichiers et documents en ligne a vu 68 millions de mots de passe et d'identifiants utilisateurs volés en 2016. La faille de sécurité avait été signalée en 2012[50].

Myspace : plusieurs centaines de millions de comptes dont 427 millions de mots de passe ont été mis en vente sur un site spécialisé dans le recel de données volées[51].

LinkedIn : plus de cent millions d’identifiants et mots de passe sont mis en vente en ligne en 2016. Ces données auraient été volées en 2012[52].

Ebay : en 2014, l’une des bases de données de l'entreprla reconnaissance faciale et de plaque d'immatriculatiise a été forcée entre la fin de février et le début de mars, et des informations non financières de la clientèle ont été volées. À la suite de cette violation de données, l'entreprise a demandé à 145 millions d’utilisateurs de changer de mot de passe[53].

Domino’s Pizza : ayant refusé de payer une rançon de 30 000 , les données d’environ 650 000 clients français et belges ont été rendues publique en novembre 2014. Parmi les informations recueillies, les noms des clients, leur adresse, les instructions de livraison et mots de passe[54].

La Banque Centrale Européenne : en 2014, la BCE est victime d’une cyberattaque sur son site internet. Elle annonce le vol de 20 000 adresses e-mails ainsi que les adresses postales et numéros de téléphones liés. Ces données étaient sauvegardées sans être encryptés, contrairement à d’autres informations stockées dans la même base de données[55].

Orange : l’opérateur téléphonique français reconnaît le 6 mai 2014 un nouveau vol de données personnelles de 1,3 million de clients et de prospects, trois mois après une intrusion qui avait touché près de 800 000 d’entre eux. Une intrusion détectée le 18 avril a permis de dérober les noms, prénoms, et, quand ils étaient renseignés, l’adresse e-mail, les numéros de téléphone mobile et fixe et la date de naissance des utilisateurs[56]. L’opérateur s’est engagé par la suite à prévenir les utilisateurs concernés pour limiter les risques d'hameçonnage, l’envoi d’e-mails frauduleux à escroquer ou à voler les données de leurs destinataires.

Facebook : le réseau social partage les données de ses utilisateurs avec 60 fabricants de smartphones ; elles portent sur les amitiés entretenues, le statut marital, les opinions politiques, ainsi que la participation à un événement sans le savoir[57]. Une fuite de données personnelles concernant 540 millions d'utilisateurs de Facebook est établie le 4 avril 2019[58]. En décembre de la même année, une autre fuite concerne 267 millions de ses utilisateurs[59].

Clearview AI fait l'objet de plusieurs controverses et procédures judiciaires vis-à-vis des milliards d'images qu'elle a collectées sur Internet mettant en jeu les données personnelles portant atteinte à la vie privée[60],[61],[62],[63],[64],[65],[66],[67].

IQVIA : l’entreprise américaine IQVIA qui noue un partenariat avec 14 000 pharmacies françaises, stocke et traite des données de santé de clients de pharmacies en France. La CNIL qui avait donné un accord, lance une enquête et des contrôles[68],[69],[70],[71].

Doctolib, application de prise de rendez-vous médicaux, utilise les services d’hébergement d'Amazon Web Services (AWS). Le CLOUD Act permet aux agences de renseignement des États-Unis d’accéder aux informations stockées sur les serveurs d’entreprises américaines ne garantissant pas un niveau de protection conforme au règlement général sur la protection des données (RGPD)[72],[73].

La police nationale française utiliserait d'après une enquête de Disclose le logiciel israëlien Briefcam depuis sans déclaration à la Commission nationale de l'informatique et des libertés (CNIL) pour faire de la reconnaissance faciale et de plaque d'immatriculation. La CNIL annonce un contrôle du ministère de l'intérieur français[74].

Notes et références

  1. a et b « Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 2. », sur legifrance.gouv.fr
  2. « LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles », sur legifrance.gouv.fr
  3. « Description du Règlement général sur la protection des données », sur droit.fr, (consulté le ).
  4. Francis Donnat, Droit européen de l'internet : réseaux, données, services, Issy-les-Moulineaux, LGDJ, , 208 p. (ISBN 978-2-275-06118-4), p. 69
  5. Desgens-Pasanau, Guillaume, La protection des données personnelles, Paris, LexisNexis, , 249 p. (ISBN 978-2-7110-2418-6, OCLC 935676897), p. 7.
  6. « Cour de Justice de l'Union Européenne: Patrick Breyer contre Bundesrepublik Deutschland, C-582/14 », sur curia.europa.eu,
  7. G29, Avis commun sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007.
  8. « Accord UE/États-Unis: utilisation et transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure », sur Parlement Européen.
  9. « Directive sur les données des dossiers passagers de l'UE (données PNR): aperçu », sur Parlement Européen.
  10. Un rapport approuve la diffusion de données médicales aux assureurs, Transfert, 20 juin 2003. Rapport Babusiaux.
  11. « L’informatisation des données de santé menace le secret médical » (Docteur X), Transfert, 9 octobre 2003.
  12. Article 64 - Loi n° 2004-810 du 13 août 2004 relative à l'assurance maladie (1))
  13. voir chapitre II de la loi no 2011-525 du 17 mai 2011 de simplification et d'amélioration de la qualité du droit.
  14. Bernard Kouchner du gouvernement Jospin.
  15. a b et c Eric Favereau, « Polémique sur la déclaration obligatoire de la séropositivité », Libération, 31 janvier 1998 [lire en ligne].
  16. Eric Favereau, « Sida: les femmes de plus en plus touchées. La déclaration (obligatoire et anonyme) de la séropositivité est toujours à l'ordre du jour », Libération, 17 novembre 1997 [lire en ligne].
  17. Pour la procédure législative en 1999, voir le 20e rapport de la CNIL (année 1999), chap. V.
  18. CNIL, Délibération no 99-042 du 9 septembre 1999.
  19. Définition donnée par Ayse Ceyhan lors du séminaire IHEJ/Esprit du 20 mars 2006, Antoine Garapon et Michaël Foessel, « Biométrie : les nouvelles formes de l'identité », Esprit n°8,‎ , p. 165-172 (ISSN 0014-0759).
  20. Anne Debet, Jean Massot et Nathalie Métallinos, Informatique et libertés : la protection des données à caractère personnel en droit français et européen, Issy-les-Moulineaux, Lextenso, , "La biométrie", p. 1095.
  21. a b c et d Antonio A. Casilli, « Contre l'hypothèse de la « fin de la vie privée ». La négociation de la privacy dans les médias sociaux », Revue française des sciences de l’information et de la communication, no 3,‎ (ISSN 2263-0856, DOI 10.4000/rfsic.630, lire en ligne, consulté le )
  22. Antonio Casilli, 'Petites boîtes’ et individualisme en réseau. Les usages socialisants du web en débat., Paris, Annales de l’École des Mines - Réalités Industrielles, , 216 p., p. 54-59
  23. (en) "Anonymized" data really isn't—and here's why not.
  24. (en) Yves-Alexandre de Montjoye, « Unique in the Crowd: The privacy bounds of human mobility », Nature SRep, no 3,‎ (lire en ligne).
  25. a b et c « Code de la sécurité intérieure » (consulté le )
  26. La rédaction de Mediapart, « Dossier: les Français sous surveillance », sur Mediapart, (consulté le )
  27. Jérôme Hourdeaux, « La surveillance du Net a été généralisée dès 2009 », sur Mediapart (consulté le )
  28. Commission Européenne, Communication de la Commission au Parlement Européen, au Conseil, au Comité Économique et Social Européen et au Comité des Régions, Vers une économie de la donnée prospère, Bruxelles, 2 juillet 2014, COM (2014) 442 final, http://ec.europa.eu/transparency/regdoc/rep/1/2014/FR/1-2014-442-FR-F1-1.Pdf.
  29. Simon Chignard et Louis-David Benyayer, Datanomics : les nouveaux business models des données, Paris, FYP éditions, , 158 p. (ISBN 978-2-36405-124-9).
  30. Aude Deraedt, « Aux États-Unis, Google dénonce un pédophile qui utilisait Gmail », Libération,‎ (lire en ligne, consulté le )
  31. « Conditions d’utilisation de Google – Règles de confidentialité et conditions d’utilisation », sur policies.google.com (consulté le )
  32. « Déclaration commune adoptée par le G29 », sur cnil.fr (consulté le )
  33. « Origine de la loi Informatique et Libertés », sur cil.cnrs.fr, (consulté le ).
  34. (en) Eleni Kosta, Consent in European Data Protection Law, Martinus Nijhoff Publishers, (ISBN 978-90-04-23236-5, lire en ligne)
  35. « 国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室 », sur cac.gov.cn (consulté le )
  36. (en) Clyde & Co LLP - Richard Bell, « Personal Data Protection in the EU and China - A Comparative Analysis », sur lexology.com (consulté le )
  37. a et b Ambassade de France en Chine, « Protection des données personnelles en Chine : un cadre juridique et une mise en œuvre encore imparfaits », sur Direction Générale du Trésor,
  38. (en-US) Paul Mozur, Raymond Zhong et Aaron Krolik, « In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags », The New York Times,‎ (ISSN 0362-4331, lire en ligne, consulté le )
  39. (en-US) « Intuit to Share Payroll Data from 1.4M Small Businesses With Equifax »,
  40. « Projet de loi relatif à la protection des données personnelles (JUSC1732261L) », sur Légifrance (consulté le ).
  41. Loi fédérale sur la protection des données du 19 juin 1992 (page consultée le 2 janvier 2015).
  42. a et b Cesla Amarelle, Droit suisse, Éditions Loisirs et pédagogie, 2008.
  43. Définition de mission sur le propre site du Préposé fédéral à la protection des données et à la transparence (page consultée le 2 janvier 2015).
  44. Voir par exemple : Économie des données personnelles, Fabrice Rochelandet, Ed. La Découverte, Paris, 2010.
  45. a et b Pierre Rimbert, « Données personnelles, une affaire politique : Se réapproprier une ressource d’utilité publique », Le Monde diplomatique,‎ (lire en ligne).
  46. Article "L’identité personnelle, carburant de l’économie numérique", humeursnumeriques.wordpress.com.
  47. Pierre Bellanger, "Après la crise économique, la crise numérique", huffingtonpost.fr.
  48. Site de l'association francophone des autorités de protection des données personnelles, sur le site de AFAPDP
  49. Résolution sur la propriété des données adoptée par l'AFAPDP le 18 octobre 2018
  50. (en) Samuel Gibbs, « Dropbox hack leads to leaking of 68m user passwords on the internet », The Guardian,‎ (ISSN 0261-3077, lire en ligne, consulté le ).
  51. (en) Sarah Perez, « Recently confirmed Myspace hack could be the largest yet », TechCrunch,‎ (lire en ligne, consulté le ).
  52. Vincent Hermann, « LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations », Next Inpact,‎ (lire en ligne, consulté le ).
  53. (en-GB) Jane Wakefield, « eBay faces investigation over breach », BBC News,‎ (lire en ligne, consulté le ).
  54. « Le piratage des données, créateur d'emplois », France Inter,‎ (lire en ligne, consulté le )
  55. (en-US) « ECB says website hacked, no sensitive data affected », Reuters,‎ (lire en ligne, consulté le )
  56. Sébastien Gavois, « Attaque informatique, fuite de données : Orange répond à nos questions », Next Inpact,‎ (lire en ligne, consulté le ).
  57. Lucie Ronfaut, « Facebook partage les données de ses utilisateurs avec des fabricants de smartphones », Le Figaro, (ISSN 0182-5852, consulté le ).
  58. « Facebook : Nouvelle fuite de données pour 540 millions d’utilisateurs », sur Journal du Geek, (consulté le ).
  59. « Facebook examine une potentielle fuite massive de données », sur Le Monde, (consulté le )
  60. Emma Confrere, « Reconnaissance faciale : la société Clearview AI accusée de «surveillance de masse illégale» », Le Figaro, (consulté le )
  61. Samuel Kahn, « Reconnaissance faciale: Clearview fait scandale avec ses 3 milliards de visages «aspirés» », Le Figaro, (consulté le )
  62. (en) « Twitter demands AI company stops 'collecting faces' », BBC News,‎ (lire en ligne, consulté le )
  63. (en) Alfred Ng et Steven Musil, « Clearview AI hit with cease-and-desist from Google, Facebook over facial recognition collection », sur CNET, (consulté le )
  64. « Reconnaissance faciale : YouTube et Facebook mettent en demeure la start-up Clearview AI », sur Le Monde, (consulté le )
  65. (en) Kashmir Hill, « New Jersey Bars Police From Using Clearview Facial Recognition App », The New York Times,‎ (ISSN 0362-4331, lire en ligne, consulté le )
  66. (en) Elizabeth Thompson, « U.S. technology company Clearview AI violated Canadian privacy law: report », CBC News,‎ (lire en ligne, consulté le )
  67. Florian Reynaud, « Reconnaissance faciale : une enquête demandée à la CNIL sur les pratiques de Clearview AI », sur Le Monde, (consulté le )
  68. Florian Reynaud, « « Cash Investigation » : la CNIL réagit à la diffusion de l’émission et annonce des contrôles sur la collecte de données de santé », sur LeMonde.fr, (consulté le )
  69. Alice Vitard, « Données de santé, pharmacies et IQVIA : qui doit informer les clients ? », sur usine-digitale.fr, (consulté le )
  70. David Legrand, « Données des pharmacies et IQVIA : la CNIL s'explique et va mener des contrôles », sur nextinpact.com, (consulté le )
  71. David Legrand, « Cash Investigation s'intéresse à l'exploitation des données personnelles », sur nextinpact.com, (consulté le )
  72. Vaccination : les données de santé de Doctolib suscitent l'inquiétude de médecins, france24.com, 5 mars 2021
  73. Justin Délépine, « Mais qui arrêtera Doctolib? », Alternatives économiques,‎
  74. « Vidéosurveillance algorithmique : la CNIL va contrôler le ministère de l’intérieur », Le Monde, (consulté le )

Voir aussi

Bibliographie

  • Nicolas Ochoa, Le droit des données personnelles, une police administrative spéciale, thèse, 2014, Paris 1, disponible en suivant le lien https://tel.archives-ouvertes.fr/tel-01340600
  • Collectif, Informatique et Libertés. La protection des données à caractère personnel en droit français et européen, LGDJ, Intégrales, 16 juillet 2015, (ISBN 978-2359710939).
  • Collectif, Règlement européen sur la protection des données: Textes, commentaires et orientations pratiques, Bruylant Édition, 10 janvier 2018, (ISBN 978-2802759676).
  • Ludovic Coudray, La protection des données personnelles dans l'Union européenne: Naissance et consécration d'un droit fondamental, Éditions Universitaires Européennes, 4 mai 2010, (ISBN 978-6131502699).
  • Guillaume Desgens-Pasanau, La Protection des données à caractère personnel, publié chez Litec LexisNexis, collection Carré Droit, septembre 2012, (ISBN 2711016838)

Articles connexes

Généralités

Aspects techniques

Aspects légaux

Critiques

Documentaire

Liens externes